nb-beveiligingsupdate middelJouw website altijd en veilig online. Dat is wat jij wilt en wat wij nastreven. Alleen komt het wel eens voor dat Vevida een website noodgedwongen offline zet, bijvoorbeeld omdat deze is gehackt en bezoekers hiervan de dupe worden. Wij geven je tips om jouw website veiliger te maken.

Een offline website. Dat wil jij niet. Dat willen wij niet. Dat willen de bezoekers niet. Soms kan het niet anders, omdat de betreffende website besmet is, een kwetsbaarheid of lek bevat. Het gevolg hiervan is dat een ander via een achterdeurtje kwalijke bestanden op de site kan plaatsen, zoals mass mailing scripts voor het versturen van spam of redirects naar externe websites. Ze kunnen de besmette website zelfs gebruiken voor het verspreiden van virussen.

Link naar deze kopVoorkomen beter dan genezen

Zodra wij een website offline zetten, ontvangt de beheerder een bericht inclusief tips en aanwijzingen en kan diegene aan de slag om het ‘brandje te blussen’. Vaak is dat een tijdrovend karwei. Voorkomen is echter veel beter dan genezen. En is vaak sneller geregeld. Daarom geven we jou graag enkele handige tips om jouw website op voorhand al veilig te maken en problemen tot een minimum te beperken.

Misschien wel de belangrijkste tip is dat je moet erkennen dat jouw website ook besmet kán raken. Door dat te onderkennen ben je sneller geneigd daadwerkelijk stappen te ondernemen.

Link naar deze kop1. Houd de software up-to-date

Het is heel belangrijk om altijd de nieuwste versie te installeren voor de software die je voor jouw website gebruikt. Het ligt zo voor de hand, maar veel gebruikers laten dit écht versloffen. Echter, voor bijna elke webapplicatie worden patches, updates en nieuwe versies uitgebracht. Die verhelpen meestal beveiligingsproblemen. Dit geldt voor zowel het core-pakket (de kern van WordPress, Joomla, Drupal of DotNetNuke, etc.), als voor alle bijbehorende plug-ins, modules en extensies. Nieuwe versies verbeteren en optimaliseren veelal ook de code van de software. Jouw website presteert dan vaak beter dan met de oudere versie.

Link naar deze kop2. Verwijder oude, ongebruikte software

nb-bestanden-verwijderen middelAlles wat online staat kan worden misbruikt. Dat geldt niet alleen voor oude bestanden die je onlangs hebt vervangen, maar ook voor oude, uitgeschakelde en ongebruikte plug-ins en modules. Deze hebben vaak een vaste locatie binnen een webapplicatie. Voor wie kwaad wil is er software beschikbaar die op het internet zoekt naar de locaties van die kwetsbare, verouderde plug-ins en modules. Heb jij zo’n plug-in of module wel uitgeschakeld in het CMS, maar nog niet verwijderd, dan kan de scansoftware deze bestanden nog steeds aanroepen, uitvoeren en misbruiken. Dus heb je kort geleden jouw oude website vervangen, verwijder dan de oude bestanden en uitgeschakelde en ongebruikte plug-ins en modules.

Link naar deze kop3. Gebruik beschikbare beveiligingsopties

Maak gebruik van de additionele beveiligingsopties of plug-ins/modules die webapplicaties vaak meeleveren. Klanten van Vevida kunnen ook gebruik maken van ISAPI_Rewrite 3 of IIS IP Address and Domain Restrictionsmodule voor het blokkeren van:

  • IP-adressen van ongewenste bezoekers
  • spambots
  • HTTP-verzoeken op welbekende backdoor-scripts

Zo kun je de IIS module Request Restrictions gebruiken voor het afschermen van mappen en bestanden binnen jouw website.

Link naar deze kop4. Maak goede back-ups

nb-backups-maken 2Het is uiteraard heel verstandig om te beschikken over een goede back-up van alle gegevens op jouw site. Op die manier kun je snel en simpel ‘schone bestanden’ terugzetten zodra je merkt dat bestanden besmet zijn. Klanten die bij Vevida een Premium of een Professional hostingpakket hebben, zijn van deze back-ups verzekerd. Zij hoeven zich hierover geen zorgen meer te maken en kunnen zelf back-ups terugzetten wanneer daaraan behoefte is. Neem voor meer informatie gerust even contact op met onze klantenservice, 050-2110100.

Link naar deze kop5. Gebruik sterke wachtwoorden

Het belang van een sterk wachtwoorden is inmiddels wel bekend. Toch gebruiken veel mensen nog steeds makkelijk te achterhalen wachtwoorden als ‘wachtwoord’, ‘123456’, ‘geheim’, hun eigen naam of die van hun kinderen. Bovendien wordt voor verschillende websites steeds hetzelfde wachtwoord gebruikt.

Wachtwoordzinnen
nb-sterke-wachtwoorden middelJe kunt veel beter wachtwoordzinnen gebruiken. Die zijn niet alleen veel veiliger, maar in de meeste gevallen ook nog eens eenvoudiger te onthouden. Neem bijvoorbeeld ‘Dit w4chtwoord is g3heim$’. Dit wachtwoord telt 26 karakters, inclusief spaties, hoofdletter, cijfers en een leesteken. We hebben de letter ‘a’ vervangen door het cijfer ‘4’ en een van de letters ‘e’ door het een ‘3’. De zin begint met een hoofdletter en wordt afgesloten met het dollarteken. De $ aan het eind kan worden onthouden omdat dit teken in sommige programmeertalen wordt gebruikt om het einde van een regel aan te geven. Je kunt natuurlijk ook gewoon een ‘.’ gebruiken.

Bedenk voor elke website of webservice een ander wachtwoord. Voor het onthouden ervan bestaan verschillende programma’s. Twee van deze zogenoemde password managers zijn Password Safe en KeePas. Je slaat alle wachtwoorden op in een password manager en hoeft dan nog maar één masterwachtwoord te onthouden. Eigenlijk best eenvoudig.

Link naar deze kop6. Gebruik niet standaard beheerdersaccounts

Het standaard beheerdersaccount van WordPress is admin en dat van Joomla is administrator. Dat weet iedereen. Het is echter mogelijk om de naam van dit beheerdersaccount naar eigen believen aan te passen. Je kunt er zelfs jouw eigen naam voor gebruiken. Op die manier wordt het voor anderen een stuk lastiger om op je website in te loggen. Bijkomend voordeel is dat een bericht onder je eigen naam stukken professioneler staat.

Link naar deze kop7. Gebruik niet standaard tabelvoorvoegsels

Hiervoor geldt hetzelfde als de naam van het beheerdersaccount: Het standaard tabelvoorvoegsel – table prefix – van de MySQL-database van WordPress is wp_. Joomla gebruikt jos_. Veel exploits (kleine stukjes code die een kwetsbaarheid uitbuiten) gaan uit van de standaard instellingen en dus van deze prefixes. Gelukkig gebruikt Joomla vanaf versie 2.5 willekeurig gegenereerde prefixes.

Je maakt het kwaadwillenden extra moeilijk door een andere prefix te kiezen. Dit kun je tijdens de installatie van een webapplicatie opgeven.

Link naar deze kop8. Volg ‘Coding Standards’

Maak je jouw website helemaal zelf? Dan is het belangrijk dat je bepaalde coding standards volgt om de kans op programmeerfouten te verkleinen. Zo’n coding standard is niets anders dan enkele afspraken hoe men gestructureerd webapplicaties en software ontwikkelt in een programmeertaal (C#, VB.Net, ASP, PHP) of programma (Zend Studio, Visual Studio,Eclipse, NetBeans).

Het is eveneens aan te raden om van een bestaand en gerenommeerd framework gebruik te maken. Die zijn er voor diverse programmeertalen. Enkele voorbeelden in PHP zijn:

  • Symphony High Performance Framework
  • Zend Framework
  • Smarty template engine

Link naar deze kop9. Houd je computer veilig en up-to-date

Ook up-to-date houden van jouw computer is belangrijk voor een veilige website. Het komt nog te vaak voor dat een website wordt gehackt met via virussen buitgemaakte inloggegevens. Denk dus om beveiligingsupdates. Installeer geregeld beveiligingsupdates voor het besturingssysteem van de computer. Vergeet niet de updates voor geïnstalleerde software, zoals Adobe Reader, Adobe Flash Player, Oracle Java en sta eveneens stil bij updates voor de verschillende browsers (Chrome, Safari, Explorer en Firefox).

Andere tips zijn:

  • Schakel de bijgeleverde firewall in.
  • Installeer een virusscanner en update deze regelmatig.
  • Voer regelmatig een volledige scan op de computer uit (AVG en ClamAV zijn gratis te downloaden, updaten en weer te verwijderen nadat de scan is afgerond. Overigens heeft ClamAV scanners voor Linux, Windows en de Mac).
  • Sla geen inloggegevens op in FTP-programma’s. Gebruik hiervoor de eerder genoemde password managers.

Werk je onder Windows? Gebruik dan het programma Enhanced Mitigation Experience Toolkit (EMET) van Microsoft voor het verder beveiligen van het besturingssysteem.

Link naar deze kop10. Is jouw website besmet?

Raakt jouw website ondanks al deze voorzorgsmaatregelen onverhoopt toch besmet en heb je geen idee hoe dat komt en wat je eraan kunt doen? Lees dan nog even verder.

website_gehacktEr zijn meestal drie manieren waarop een website is gehackt:

  • Een virus op jouw computer heeft het opgeslagen FTP-wachtwoord gevonden en verspreid
  • Het CMS waarvan je website gebruik maakt kent een kwetsbaarheid
  • Het FTP-wachtwoord was te eenvoudig en is gekraakt (brute-force)

Een oplossing bestaat in ieder geval uit de volgende stappen:

  • Scan je computer(s) op virussen
  • Verander alle wachtwoorden (niet alleen van je FTP-account, maar ook van je e-mailaccounts en MyVevida)
  • Pas je inloggegevens aan (dit doe je nadat jouw website weer is opgestart is en je een CMS gebruikt)
  • Werk alle software op jouw computer bij naar de laatste versie en installeer de nodige beveiligingsupdates voor jouw besturingssysteem
  • Controleer je website op kwalijke bestanden en vervang aangepaste en geïnfecteerde bestanden door een schone versie
  • Upload (indien mogelijk) alvast de nieuwste versie van jouw website-software en onderdelen. Die updates kun je toepassen zodra de website weer is gestart

Belangrijk zijn ook de volgende drie tips:

  • Maak regelmatig back-ups. Bij Vevida kun je voor een paar euro per maand al een back-up service aanschaffen.
  • Verander jouw wachtwoorden regelmatig, ook degene die je bij een andere online diensten gebruikt.
  • Wachtwoorden niet hergebruiken. Bedenk en gebruik voor elke (online) dienst een ander wachtwoord. Gebruik niet de FTP-wachtwoorden van jouw websites ook voor Facebook, LinkedIn, Google, Hotmail, enz.. Houd deze wachtwoorden uniek.